F5配置指导书

F5配置指导书

华为技术有限公司

2003年9月

目录

1.F5的配置 (3)

1.1规划IP地址 (3)

1.1.1规划内部IP地址 (3)

1.1.2规划外部IP地址 (5)

1.2配置B IG-IP2000 (5)

1.3设置网络 (6)

1.4设置P OOLS (8)

1.4.1增加节点池 (8)

1.4.2修改节点池的persistence (11)

1.5配置V IRTUAL S ERVER (12)

1.6配置P ROXIES (14)

1.7配置测试页面 (19)

1.8配置信息的备份和恢复 (22)

1. F5的配置

在系统的集群方案中使用Big-IP 2000（F5）作为负载均衡器，下面将具体描述Big-IP 2000的配置过程。组网图如下：

1.1 规划IP 地址

1.1.1 规划内部IP 地址

负载均衡器与应用服务器集群中的各个节点组成一个内部网络。下面以集群中存在两个应用节点为例规划这个内部网络的IP 地址。

Big-IP 2000的内部internal vlan 地址

192.168.20.129

此外，Big-IP 2000管理地址是192.168.1.245，这个地址在硬件中已经固定，不可改变。

应用节点的内部地址

两个应用节点的IP 规划下表所示。

应用节点内部地址规划表

应用节点

IP 地址

掩码

广播地址

缺省网关

Internet

Default gateway: 192.168.20.1

192.168.20.131

External Vlan:192.168.20.30

192.168.20.132

Internal VLAN:192.168.20.129

Clients

Router

BIG-IP Controller

Servers

举例：WAP 业务平台的F5的配置

Portal1

Portal12

Oracle 数据库

192.168.20.11

虚拟服务器192.168.20.31:80 Node1: 192.168.20.131:80 (NA T) 192.168.20.34 Node2: 192.168.20.132:80 (NA T) 192.168.20.35

portal1 192.168.20.131 255.255.255.128 192.168.20.255 192.168.20.129 portal2 192.168.20.132

说明：

(1) 当集群中数用多于两个节点时，可以根据0的顺序增加应用节点。

(2) 在0中节点将Big-IP 2000的内部地址作为缺省网关。

(3) 因为Big-IP 2000固有的管理地址是192.168.1.245，所以节点的广

播地址不能使用192.168.1网段，避免冲突。

1.1.2规划外部IP地址

Big-IP 2000的外部external vlan管理地址

192.168.20.30

用户可以通过浏览器访问https://192.168.20.30来管理Big-IP 2000的配置。

Big-IP 2000的外部应用地址(虚拟IP)

192.168.20.31

用户可以通过浏览器访问http://192.168.20.31访问Portal Server。

应用节点的外部IP地址规划

表1 应用节点的外部IP地址

应用节点节点的内部IP地址节点的外部IP地址

portal1 192.168.20.131 192.168.20.34

portal2 192.168.20.132 192.168.20.35

1.2 配置Big-IP 2000

通过Big-IP 2000的对外管理地址访问Big-IP 2000，进入操作界面，在操作界面中选择“Configure your BIG-IP (R) Controller using the Configuration Utility”超级链接，进入配置界面，如图“Big-IP 2000配置界面”示。

Big-IP 2000配置界面

1.3 设置网络

点击01左侧菜单的“NetWork”超级链接，再选择“VLANs”页，单击“ADD”按钮，在弹出的界面中分配Big-IP 2000的各个端口，用“untagged”按钮选择端口，配置好的例子如

图“设置网络－设置VLANs”所示。

设置网络－设置VLANs

然后选择“Self IP Address”页，单击“ADD”按钮，按钮，在弹出的界面中设置IP，设置结果如图“设置网络－设置Self IP Address”所示。单击“Address”栏中的IP地址，查看

与修改IP地址配置。

左边菜单选择NATs，然后点击add，添加内部IP和外部IP的对应关系，见下图：

net的设置

1.4 设置Pools

均衡器节点池（Pool）是按照一个特定策略接受处理请求的服务器集合，是均衡器的一个关键对象。

Portal Server需要配置两个节点池：pool1和pool2。pool2只为各种管理员服务；pool1既为普通用户服务，又为各种管理员服务（由于管理员有修改业务树的权限，所以只有把管理员的操作限制在同一个节点上才不会产生同时修改而导致的错误）。

1.4.1增加节点池

选择01左侧菜单的“pools”超级链接进入pools页面，如图“设置Pools页面”所示。

进入“Pools”页面，单击“ADD”按钮，进入增加pool的页面，如图“加pool页面”所示。

增加pool页面

在05里的Load Balancing Method:部分选择“Least Connecttion(Menber)”。

Resourse部分的“Member Address”参数依次输入192.168.20.131这个Portal Server应用节点的内部IP地址，“Service”参数填写80(这是安装portal时使用的端口)端口。“Member Ratio”参数都设为1。

Resourse部分的第一条参数输入完成后，单击按钮，将数据选入“Current Members”框中，然后进行下一条数据的输入。

这样依次把192.168.20.131、192.168.20.132、192.168.20.133、192.168.20.141四个节点的都输入到这个pool中

操作完成后，单击页面上的“DONE”按钮，保存数据，并返回04。

说明：

(1) 在增加节点池时，名称、成员以及均衡器采用的均衡方式是必须配置

的，其它的选项是可选择的。

(2) 目前各个节点都是对等的，所以配置的ratio应该完全相同，这里都

配置成1就可以了。

(3) 负载均衡模式分为以下几种：

Round Robin：这是缺省的配置方式。用户的连接请求被平均地分配给作

为负载均衡的所有节点。如果作为服务器节点的设备在处理速度和内存

上是一致的，那么这样的处理方式是最合适的。

Radio：服务器节点先确定根据处理能力确定他们各自的处理请求比重，

然后根据比重把请求发送到服务器节点进行处理，这样可以解决在pool

中存在不同机器型号的均衡器设备问题。

Dynamic Radio：这和Radio类似，但是他们的请求处理比重是根据每个

节点的处理能力而动态分配的。节点处理能力的监控可以实时地通过获

得每个节点的当前连接数、最快的响应时间等动态性能确定。

Fastest：设备获得当前处理速度最快的节点，然后把处理请求发向这个

最快的节点。

Least Connections：在所有节点有差不多的处理能力情况下，把当前的

处理请求发送到当前连接数最少的服务节点。

Observed：这是Fastest和Least Connections模式的结合。所有的节点

按照连接数和响应速度的总体情况进行排序，后续用户请求中更大比例

让那些连接数少并且处理速度快的节点处理。这种方式对节点的处理性

能不一致时适用。

Predictive：这种方式使用Observed方式的处理方式对节点进行排序，

但是设备还考虑了这些节点处理能力的变化趋势以确定某个节点的处理

能力是在上升还是在降低，让那些处理能力呈上升趋势的节点处理更多

的请求。

1.4.2修改节点池的persistence

用户在访问WEB过程中，前后的请求可能有一定的连续性，如本次的请求处理过程中使用了上次请求中客户端发送来的数据信息，这样就要求这些请求必须要能够发送到同一个节点处理，即保持请求的一致性，是节点池pool的一个特性。

在pool1里有多台机器，需要设置pool1的“persistence”属性，以便使同一用户的访问集中在同一个Portal Server应用节点上。

单击04中左下角的pool1链接，选择Persistence页，进行如图“修改节点池的persistence”的配置：

修改节点池的persistence

这样负载均衡器就可以通过在用户的IP地址信息中加入cookie来区分用户，把同一个用户的请求固定在同一个Portal Server应用节点上。

1.5 配置Virtual Server

通过某种规则，客户端能够访问虚拟服务器的虚拟IP地址，并把请求转发给节点池中某个合适的节点进行处理。在配置Virtual Server之前必须先配置节点池。iIMUSE中虚拟服务器的虚拟IP地址即是用户访问Portal Server时的IP地址。

选择左侧菜单的“Virtual Servers”超级链接，选择“Virtual Servers”页。

单击“ADD”按钮，“Address”参数输入192.168.20.31。“Service”参

数输入80，如下图所示。

单击“Next”按钮，进入“Configure Basic Properties”页面，这里的参

数不用修改。

单击“Next”按钮，进入“Select Physical Resources”页面，配置Role。

选择“PortalCluster”。

配置结果如下图所示。

配置Virtual Server--增加地址

配置Virtual Server--配置结果

1.6 配置Proxies

通过配置Proxies属性，负载均衡器可以将当前Virtual Server的请求转发到其他目标地址或者目标服务上。在系统中即把对Portal Server的9443(安装portal时的SSL的端口)端口访问转换成对80端口的访问。

在配置SSL Proxy时需要设置证书和key文件，下面的配置中使用缺省文件。

选择01左侧菜单的“Proxies”超级链接，选择“Proxy”页。

单击“ADD”按钮，进入增加Proxy的页面，输入参数如下图所示。单击“DONE”按钮完成设置。

设置结果如下图所示。

配置Proxies--输入参数

配置Proxies--设置结果

系统会有一个默认的证书，这个默认证书是可以使用的。

说明：正常情况下只要使用了一个证书，保证web的portal能顺利登录，那么该证书就没有问题，无需替换。

请选择Cert Admin项见下图：

说明：如上图，有效期过期了。可以重新生成证书，但是即使不重新生成，也不会影响用户使用。

选择下面Grenerate New Key Pair/Certificate Request即可生成新的证书。

证书生成之后客户端可以使用如下方法安装证书

注：以下部分是用户使用浏览webportal时的页面，不是服务端的配置。另外即使用户不按照如下方法安装，也不会影响用户的使用。只是每次认证时都会弹出一个是否下载证书的页面。

当portal访问https页面时会弹出一个证书页面如下：

选择查看证书

选择下一步：

选择完成

选择“是”

点击“确定”

这样客户端的证书就安装完毕。

1.7 配置测试页面

由于portal四个节点挂在F5下面，F5需要配置一个测试页面，定时测试着四个节点，如果发生异常就把发生异常的节点断开。

选择左边菜单项的Monitos页面如下：

选择正加，页面如下：